Я читал, что теоретические слабость в SSL оказалось реальным. Есть ли обходной путь, который мы можем применить как пользователи или администраторы для защиты наших пользователей / себя?
Атака предполагает возможность представлять данные под доверенными учетными данными клиента, что в зависимости от вашей среды и использования рассматриваемых конечных серверов может привести к эскалации привилегий и т.п.
Риск пропорционален защищаемым вами данным и тому, на что кто-то пойдет, чтобы их украсть.
На практике документы мало что защищают. Поскольку проблема заключается в атаке из-под протокола, то есть ниже транспортного уровня, использование IPSEC может быть вариантом. Это лучше всего работает в закрытой группе пользователей, когда вы контролируете конечные машины. IPSEC будет менее подходящим для общей неконтролируемой Интернет-среды.
Марк Саттон
http://www.blacktipconsulting.com
Отверстие позволяет только вводить данные, если эта инъекция может вызвать какую-либо утечку данных, вам необходимо переделать программу на стороне сервера, чтобы убедиться, что введенные данные не могут вызвать утечку конфиденциальной информации.
То есть сеанс пользователя остается безопасным на исходящей стороне (то есть между сервером и клиентом), эти коммуникации остаются секретными, коммуникации с входящей стороны (клиент-сервер), данные от клиента также остаются секретными, однако , к этим данным может быть добавлена или добавлена информация с помощью атаки типа "злоумышленник в середине".
Таким образом, нет необходимости в обходном пути, если ваш сервер / служба не уязвимы для этого типа атаки, и если это так, то обходной путь будет специфичным для вашего веб-приложения.